DatenschutzHackerangriffeCyberkriminalität

Instructure-Datenpanne: 275 Millionen Nutzer betroffen, ShinyHunters beansprucht Angriff

Von CyberDeutsch Redaktion
Instructure-Datenpanne: 275 Millionen Nutzer betroffen, ShinyHunters beansprucht Angriff
Zusammenfassung

Der US-amerikanische Bildungstechnologie-Konzern Instructure bestätigte am Freitag einen Cyberangriff auf sein Netzwerk. Das Unternehmen ist weltweit bekannt für Canvas, sein Learning-Management-System, das von etwa 9.000 Schulen und Universitäten zur Verwaltung von Kursen und Online-Unterricht genutzt wird. Die Cyberkriminellen-Gruppe ShinyHunters beansprucht die Verantwortung für den Angriff und hat Instructure auf ihrer Datenleck-Website gelistet. Nach Angaben der Hacker wurden persönliche Daten von etwa 275 Millionen Personen – Schüler, Lehrer und Mitarbeiter – entwendet, darunter Namen, E-Mail-Adressen, Studierendenausweise sowie mehrere Milliarden private Nachrichten zwischen Schülern und Lehrern. Instructure bestätigte zwar die Datenexfiltration, konnte aber ausschließen, dass Passwörter oder Finanzdaten betroffen seien. Für deutsche Schulen und Universitäten ist dieser Vorfall bedeutsam, da Canvas auch hierzulande als Lernplattform eingesetzt wird. Deutsche Bildungseinrichtungen sollten überprüfen, ob ihre Institutionen zu den betroffenen Schulen zählen und ihre Nutzer entsprechend informieren. Der Angriff unterstreicht die wachsenden Risiken für kritische Bildungsinfrastrukturen und die Notwendigkeit verstärkter Cybersicherheitsmaßnahmen im Bildungssektor.

Instructure teilte am Freitag mit, dass das Unternehmen Opfer eines Cybersicherheitsvorfalls geworden ist und mit externen Sicherheitsexperten sowie Strafverfolgungsbehörden an der Aufklärung arbeitet. Am Samstag folgte eine aktualisierte Mitteilung mit Details zum Umfang der Datenpanne.

Nach bisherigen Erkenntnissen wurden hauptsächlich identifizierende Informationen von Nutzern an betroffenen Institutionen preisgegeben – darunter Namen, E-Mail-Adressen, Studierenden-IDs sowie private Nachrichten zwischen Nutzern. Das Unternehmen betont, dass bislang keine Passwörter, Geburtsdaten, staatliche Ausweisdaten oder Finanzinformationen kompromittiert wurden. Sollte sich dies ändern, verpflichtet sich Instructure zur unverzüglichen Benachrichtigung betroffener Institutionen.

Die Hacker-Gruppe ShinyHunters hat Instructure inzwischen auf ihrer Datenleck-Website aufgelistet und beansprucht Verantwortung für den Angriff. Laut den Angaben der Cyberkriminellen waren fast 9.000 Schulen weltweit betroffen, mit Daten von 275 Millionen Personen – einschließlich Studierender, Lehrkräfte und weiteren Personal. Zusätzlich werden mehrere Milliarden private Nachrichten zwischen Schülern und Lehrern genannt, die persönliche Gesprächsinhalte und weitere personenbezogene Informationen enthalten.

ShinyHunters behauptet, die Daten über eine Schwachstelle in Instructures Systemen gestohlen zu haben, die mittlerweile gepatcht wurde. Das gestohlene Datenpaket soll über 240 Millionen Datensätze umfassen und sich über fast 15.000 Institutionen in Nordamerika, Europa und dem Asien-Pazifik-Raum erstrecken.

Als Reaktion hat Instructure Sicherheitspatches eingespielt, die Überwachung intensiviert und Anwendungs-Schlüssel rotiert. Kunden müssen die API-Zugriffe neu autorisieren, damit neue Anwendungs-Schlüssel ausgestellt werden.

Für deutsche Schulen und Universitäten, die Canvas nutzen, ist eine sofortige Überprüfung empfohlen, ob die eigene Institution betroffen ist. Das BSI dürfte zeitnah eine entsprechende Warnmitteilung veröffentlichen. Institutionen sind verpflichtet zu prüfen, ob ein Meldepflicht-Trigger unter der DSGVO vorliegt – besonders bei Kindern und Jugendlichen als betroffenen Personen.

Ähnliche Artikel